För att diskutera VXLAN-gateways måste vi först diskutera själva VXLAN. Kom ihåg att traditionella VLAN (Virtual Local Area Networks) använder 12-bitars VLAN-ID:n för att dela upp nätverk och stödja upp till 4096 logiska nätverk. Detta fungerar bra för små nätverk, men i moderna datacenter, med sina tusentals virtuella maskiner, containrar och miljöer med flera hyresgäster, är VLAN otillräckliga. VXLAN föddes, definierat av Internet Engineering Task Force (IETF) i RFC 7348. Dess syfte är att utöka sändningsdomänen för lager 2 (Ethernet) över lager 3 (IP)-nätverk med hjälp av UDP-tunnlar.
Enkelt uttryckt inkapslar VXLAN Ethernet-ramar i UDP-paket och lägger till en 24-bitars VXLAN Network Identifier (VNI), vilket teoretiskt sett stöder 16 miljoner virtuella nätverk. Detta är som att ge varje virtuellt nätverk ett "identitetskort", vilket gör att de kan röra sig fritt på det fysiska nätverket utan att störa varandra. Kärnkomponenten i VXLAN är VXLAN Tunnel End Point (VTEP), som ansvarar för att inkapsla och dekapsla paket. VTEP kan vara programvara (som Open vSwitch) eller hårdvara (som ASIC-chippet på switchen).
Varför är VXLAN så populärt? För att det perfekt anpassar sig till behoven hos molntjänster och SDN (Software-Defined Networking). I publika moln som AWS och Azure möjliggör VXLAN sömlös utbyggnad av hyresgästers virtuella nätverk. I privata datacenter stöder det overlay-nätverksarkitekturer som VMware NSX eller Cisco ACI. Tänk dig ett datacenter med tusentals servrar, där var och en kör dussintals virtuella maskiner (VMs). VXLAN gör att dessa virtuella maskiner kan uppfatta sig som en del av samma Layer 2-nätverk, vilket säkerställer smidig överföring av ARP-sändningar och DHCP-förfrågningar.
VXLAN är dock inte ett universalmedel. Att arbeta på ett L3-nätverk kräver L2-till-L3-konvertering, vilket är där gatewayen kommer in i bilden. VXLAN-gatewayen ansluter det virtuella VXLAN-nätverket till externa nätverk (som traditionella VLAN eller IP-routingnätverk), vilket säkerställer att data flödar från den virtuella världen till den verkliga världen. Vidarebefordringsmekanismen är gatewayens hjärta och själ och avgör hur paket bearbetas, dirigeras och distribueras.
VXLAN-vidarebefordringsprocessen är som en delikat balett, där varje steg från källa till destination är nära sammankopplat. Låt oss gå igenom det steg för steg.
Först skickas ett paket från källvärden (t.ex. en virtuell maskin). Detta är en standard Ethernet-ram som innehåller käll-MAC-adressen, destinationens MAC-adress, VLAN-tagg (om någon) och nyttolasten. När denna ram tas emot kontrollerar käll-VTEP:n destinationens MAC-adress. Om destinationens MAC-adress finns i dess MAC-tabell (erhållen genom inlärning eller översvämning) vet den vilken fjärr-VTEP den ska vidarebefordra paketet till.
Inkapslingsprocessen är avgörande: VTEP lägger till en VXLAN-header (inklusive VNI, flaggor och så vidare), sedan en yttre UDP-header (med en källport baserad på en hash för den inre ramen och en fast destinationsport på 4789), en IP-header (med käll-IP-adressen för den lokala VTEP och destinations-IP-adressen för den fjärranslutna VTEP) och slutligen en yttre Ethernet-header. Hela paketet visas nu som ett UDP/IP-paket, ser ut som normal trafik och kan dirigeras på L3-nätverket.
I det fysiska nätverket vidarebefordras paketet av en router eller switch tills det når destinations-VTEP:n. Destinations-VTEP:n tar bort den yttre headern, kontrollerar VXLAN-headern för att säkerställa att VNI matchar och levererar sedan den inre Ethernet-ramen till destinationsvärden. Om paketet är okänd unicast-, broadcast- eller multicast-trafik (BUM) replikerar VTEP:n paketet till alla relevanta VTEP:er med hjälp av översvämning, med hjälp av multicast-grupper eller unicast-headerreplikering (HER).
Kärnan i vidarebefordringsprincipen är separationen av kontrollplanet och dataplanet. Kontrollplanet använder Ethernet VPN (EVPN) eller Flood and Learn-mekanismen för att lära sig MAC- och IP-mappningar. EVPN är baserat på BGP-protokollet och tillåter VTEP:er att utbyta routinginformation, såsom MAC-VRF (Virtual Routing and Forwarding) och IP-VRF. Dataplanet ansvarar för den faktiska vidarebefordringen med hjälp av VXLAN-tunnlar för effektiv överföring.
I faktiska driftsättningar påverkar dock vidarebefordringseffektiviteten direkt prestandan. Traditionella översvämningar kan lätt orsaka broadcaststormar, särskilt i stora nätverk. Detta leder till behovet av gatewayoptimering: gateways kopplar inte bara samman interna och externa nätverk utan fungerar också som proxy-ARP-agenter, hanterar ruttläckor och säkerställer de kortaste vidarebefordringsvägarna.
Centraliserad VXLAN-gateway
En centraliserad VXLAN-gateway, även kallad centraliserad gateway eller L3-gateway, distribueras vanligtvis i kanten eller kärnlagret av ett datacenter. Den fungerar som en central hubb, genom vilken all trafik över VNI eller subnät måste passera.
I princip fungerar en centraliserad gateway som standardgateway och tillhandahåller Layer 3-routingtjänster för alla VXLAN-nätverk. Betrakta två VNI:er: VNI 10000 (subnät 10.1.1.0/24) och VNI 20000 (subnät 10.2.1.0/24). Om VM A i VNI 10000 vill komma åt VM B i VNI 20000 når paketet först den lokala VTEP. Den lokala VTEP:n upptäcker att destinations-IP-adressen inte finns i det lokala subnätet och vidarebefordrar den till den centraliserade gatewayen. Gatewayen dekapsulerar paketet, fattar ett routingbeslut och kapslar sedan in paketet igen i en tunnel till destinations-VNI:n.
Fördelarna är uppenbara:
○ Enkel hanteringAlla routingkonfigurationer är centraliserade på en eller två enheter, vilket gör att operatörer bara behöver underhålla ett fåtal gateways för att täcka hela nätverket. Denna metod är lämplig för små och medelstora datacenter eller miljöer som driftsätter VXLAN för första gången.
○ResurseffektivGateways är vanligtvis högpresterande hårdvara (som Cisco Nexus 9000 eller Arista 7050) som kan hantera enorma mängder trafik. Kontrollplanet är centraliserat, vilket underlättar integration med SDN-styrenheter som NSX Manager.
○Stark säkerhetskontrollTrafiken måste passera genom gatewayen, vilket underlättar implementeringen av ACL:er (åtkomstkontrolllistor), brandväggar och NAT. Tänk dig ett scenario med flera hyresgäster där en centraliserad gateway enkelt kan isolera hyresgästtrafik.
Men bristerna kan inte ignoreras:
○ Enskild felpunktOm gatewayen misslyckas, förlamas L3-kommunikationen över hela nätverket. Även om VRRP (Virtual Router Redundancy Protocol) kan användas för redundans, medför det fortfarande risker.
○PrestandaflaskhalsAll öst-västlig trafik (kommunikation mellan servrar) måste kringgå gatewayen, vilket resulterar i en suboptimal väg. Till exempel, i ett kluster med 1000 noder, om gatewayens bandbredd är 100 Gbps, är det troligt att överbelastning uppstår under rusningstid.
○Dålig skalbarhetAllt eftersom nätverkets skala växer ökar gatewaybelastningen exponentiellt. I ett verkligt exempel har jag sett ett finansiellt datacenter som använder en centraliserad gateway. Inledningsvis fungerade det smidigt, men efter att antalet virtuella maskiner fördubblades skjuter latensen i höjden från mikrosekunder till millisekunder.
Applikationsscenario: Lämplig för miljöer som kräver hög enkelhet i hanteringen, såsom privata företagsmoln eller testnätverk. Ciscos ACI-arkitektur använder ofta en centraliserad modell, kombinerad med en leaf-spine-topologi, för att säkerställa effektiv drift av kärngateways.
Distribuerad VXLAN-gateway
En distribuerad VXLAN-gateway, även känd som en distribuerad gateway eller anycast-gateway, avlastar gateway-funktionalitet till varje leaf-switch eller hypervisor-VTEP. Varje VTEP fungerar som en lokal gateway och hanterar L3-vidarebefordran för det lokala subnätet.
Principen är mer flexibel: varje VTEP konfigureras med samma virtuella IP-adress (VIP) som standardgatewayen med hjälp av Anycast-mekanismen. Paket över subnät som skickas av virtuella maskiner dirigeras direkt på den lokala VTEP:n, utan att behöva gå via en central punkt. EVPN är särskilt användbart här: genom BGP EVPN lär sig VTEP:n rutter från fjärrvärdar och använder MAC/IP-bindning för att undvika ARP-översvämning.
Till exempel vill virtuell maskin A (10.1.1.10) komma åt virtuell maskin B (10.2.1.10). VM A:s standardgateway är VIP:n för den lokala VTEP:n (10.1.1.1). Den lokala VTEP:n dirigerar till destinationssubnätet, inkapslar VXLAN-paketet och skickar det direkt till virtuell maskin B:s VTEP. Denna process minimerar sökvägen och latensen.
Enastående fördelar:
○ Hög skalbarhetAtt distribuera gatewayfunktionalitet till varje nod ökar nätverksstorleken, vilket är fördelaktigt för större nätverk. Stora molnleverantörer som Google Cloud använder en liknande mekanism för att stödja miljontals virtuella maskiner.
○Överlägsen prestandaÖst-västlig trafik bearbetas lokalt för att undvika flaskhalsar. Testdata visar att dataflödet kan öka med 30–50 % i distribuerat läge.
○Snabb felåterställningEtt enda VTEP-fel påverkar endast den lokala värden, vilket lämnar andra noder opåverkade. Kombinerat med EVPN:s snabba konvergens är återställningstiden sekunder.
○Bra resursanvändningAnvänd det befintliga Leaf-switch-ASIC-chippet för hårdvaruacceleration, med vidarebefordringshastigheter som når Tbps-nivån.
Vilka är nackdelarna?
○ Komplex konfigurationVarje VTEP kräver konfiguration av routing, EVPN och andra funktioner, vilket gör den initiala driftsättningen tidskrävande. Driftteamet måste vara bekant med BGP och SDN.
○Höga hårdvarukravDistribuerad gateway: Alla switchar stöder inte distribuerade gateways; Broadcom Trident- eller Tomahawk-chip krävs. Programvaruimplementeringar (som OVS på KVM) fungerar inte lika bra som hårdvara.
○KonsekvensutmaningarDistribuerad innebär att tillståndssynkronisering är beroende av EVPN. Om BGP-sessionen fluktuerar kan det orsaka ett svart hål i routningen.
Applikationsscenario: Perfekt för hyperskaliga datacenter eller publika moln. VMware NSX-T:s distribuerade router är ett typiskt exempel. I kombination med Kubernetes stöder den sömlöst containernätverk.
Centraliserad VxLAN-gateway kontra distribuerad VxLAN-gateway
Nu till klimaxen: vilket är bäst? Svaret är "det beror på", men vi måste gräva djupt i data och fallstudier för att övertyga dig.
Ur ett prestandaperspektiv presterar distribuerade system klart bättre. I ett typiskt datacentertest (baserat på Spirent-testutrustning) var den genomsnittliga latensen för en centraliserad gateway 150 μs, medan den för ett distribuerat system bara var 50 μs. När det gäller dataflöde kan distribuerade system enkelt uppnå linjehastighetsvidarebefordran eftersom de använder Spine-Leaf Equal Cost Multi-Path (ECMP) routing.
Skalbarhet är en annan stridsplats. Centraliserade nätverk är lämpliga för nätverk med 100–500 noder; bortom denna skala får distribuerade nätverk övertaget. Ta Alibaba Cloud, till exempel. Deras VPC (Virtual Private Cloud) använder distribuerade VXLAN-gateways för att stödja miljontals användare världen över, med en latens på under 1 ms i en enda region. En centraliserad strategi skulle ha kollapsat för länge sedan.
Hur är det med kostnaden? En centraliserad lösning erbjuder lägre initial investering och kräver endast ett fåtal avancerade gateways. En distribuerad lösning kräver att alla lövnoder stöder VXLAN-offload, vilket leder till högre kostnader för hårdvaruuppgraderingar. I längden erbjuder dock en distribuerad lösning lägre drifts- och underhållskostnader, eftersom automatiseringsverktyg som Ansible möjliggör batchkonfiguration.
Säkerhet och tillförlitlighet: Centraliserade system underlättar centraliserat skydd men utgör en hög risk för enskilda attackpunkter. Distribuerade system är mer motståndskraftiga men kräver ett robust kontrollplan för att förhindra DDoS-attacker.
En fallstudie från verkligheten: Ett e-handelsföretag använde centraliserad VXLAN för att bygga sin webbplats. Under perioder med hög belastning steg CPU-användningen i gatewayen till 90 %, vilket ledde till klagomål från användare om latens. Att byta till en distribuerad modell löste problemet och gjorde det möjligt för företaget att enkelt fördubbla sin skala. Omvänt insisterade en liten bank på en centraliserad modell eftersom de prioriterade efterlevnadsrevisioner och tyckte att centraliserad hantering var enklare.
Generellt sett, om du letar efter extrem nätverksprestanda och skalbarhet, är en distribuerad metod rätt väg att gå. Om din budget är begränsad och din ledningsgrupp saknar erfarenhet är en centraliserad metod mer praktisk. I framtiden, med uppkomsten av 5G och edge computing, kommer distribuerade nätverk att bli mer populära, men centraliserade nätverk kommer fortfarande att vara värdefulla i specifika scenarier, till exempel sammankoppling av filialkontor.
Mylinking™ nätverkspaketmäklarestöd för VxLAN, VLAN, GRE, MPLS Header Stripping
Stödde VxLAN-, VLAN-, GRE- och MPLS-headern som strippades i det ursprungliga datapaketet och vidarebefordrade utdata.
Publiceringstid: 9 oktober 2025
